2011年05月20日 [長年日記]
■ Hokkaido.cap #3
今日も参加してきたので簡単なメモを残しておく。
ハッシュタグ:#docap
自己紹介
- 今日はこいわさんがいなかったので普通の自己紹介をしてみた
ケーススタディ 基礎編
- TCP の通信障害 tcp-con-lost.pcap
- おかしいぱけっとは行が黒で表示されるので、この黒い部分に注目するとよい。
- 届かないパケット destunreachable.pcap
- なんかやまきさんのみていたファイルと違うっぽい? Type 3がなかった
- IP フラグメンテーション ipfragments.pcap
- Ethernet で 1回に送信できるパケットサイズ 1,500 byte
- 接続不能 barryscomputer.pcap, bethscomputer.pcap
- FTP サーバとの通信 ftpclientdenied.pcap, ftpserverdenied.pcap
- サービスが稼働していない
- 意図的にブロックされている
- HTTP 403 Forbidden http-fault-post.pcap
- 社内ネットワーク側かサーバー側かの判断をする
- 悪魔のプログラム evilprogram.pcap
- スパイウェアに感染した!
- ポートスキャンっぽい
- 正常な通信をフィルタする → WireShark の Fileter 機能を使う
- DCERPC リモートからのプログラム実行
bkinst.exe をダウンロードしている。
このケースではバックグラウンドで稼働しているRPCサービスを利用して スパイウェアをダウンロードして実行していた。
CTP
コンピュータに関する知識を競うゲーム Packet Madness : パケット解析 CTF01.pcap のファイルの解析が問題でした。
とりあえずMacでの右クリックの方法がわからなかったので、 ほぼ何もできないでいたw 怪しそうな箇所の検討はつけていたのだけどねw
で、Mac版の WireShark の右クリックは(マウスない場合) 以下の操作でできます。
タッチパッド に指2本置いて、左をクリックすると表示できる。
CFP 回答
- EUCの文字コード
- のパターンが3つあるので、
- それを全置換することで求める。
"赤い彗星" シャァ・アズナブル
LT SIN さん
- WinPcap + C#
今のところ欠席していないので皆勤賞を目指してみよう!